취약점, 공격 (Vul & Exploit)/KISA 취약점 분석
Unix 서버 취약점 02 - 패스워드 복잡성 설정
분류 코드 : 02. Unix 서버 보안 - 1. 계정 관리 - U-02 항목 중요도 : 상 점검내용 : 시스템 정책에 사용자 계정(root 및 일반계정 모두 해당) 패스워드 복잡성 관련 설정이 되어 있는지 점검 점검목적 : 패스워드 복잡성 관련 정책이 설정되어 있는지 점검하여 비인가자의 공격(무 작위 대입 공격, 사전 대입 공격 등)에 대비가 되어 있는지 확인하기 위함 보안 위협 : 복잡성 설정이 되어있지 않은 패스워드는 사회공학적인 유추가 가능 할 수 있으며 암호화된 패스워드 해시값을 무작위 대입공격, 사전대입 공격 등으로 단시간에 패스워드 크렉이 가능함 점검 대상 : SOLARIS, LINUX, AIX, HP-UX 등 판단기준 : 양호 : 패스워드 최소길이 8자리 이상, 영문·숫자·특수문자 최소 입..
취약점, 공격 (Vul & Exploit)/KISA 취약점 분석
Unix 서버 취약점 01 - root 계정 원격 접속 제한
분류 코드 : 01. Unix 서버 보안 - 1. 계정 관리 - U-01 항목 중요도 : 상 점검내용 : 시스템 정책에 root 계정의 원격터미널 접속차단 설정이 적용되어 있는지 점검 점검목적 : 관리자계정 탈취로 인한 시스템 장악을 방지하기 위해 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하기 위함 보안 위협 : root 계정은 운영체제의 모든기능을 설정 및 변경이 가능하여(프로세스, 커널변경 등) root 계정을 탈취하여 외부에서 원격을 이용한 시스템 장악 및 각종 공격으로(무작위 대입 공격) 인한 root 계정 사용 불가 위협 점검 대상 : SOLARIS, LINUX, AIX, HP-UX 등 판단기준 : 양호 : 원격 터미널 서비스를 사용하지 않거나, 사용 시 root 직접 접속을 차..
네트워크, 웹 (Network & Web)/Exploit
웹해킹 버그바운티 분석 - 오픈 리디렉션(open redirection) 취약점
- 오픈 리디렉션(open redirection) 취약점 * 공격 대상이 웹 사이트를 방문했을 때 해당 웹 사이트가 다른 도메인의 URL을 브라우저로 전달하는 경우 발생할 수 있다. * 다른 공격과 활용하여 OAuth 토큰을 훔치거나, 악성 사이트에서 멀웨어를 배포할 수 있다. * 사용자만 리디렉션하기 때문에 영향력이 적고 보상금이 작다. - 작동 방식 * 공격자가 조작하는 입력값을 개발자가 맹신하여 발생함 (URL 파라미터, HTML 태그, DOM 윈도우 위치속성) * 다수의 웹 사이트가 기존 URL에서 목표 URL을 파라미터로 배치해 의도적으로 사용자를 리디렉션함 * 해당 애플리케이션은 이 파라미터를 사용해 브라우저가 목표 URL로 GET 요청을 보내도록 지시함 작동 예제 https://www.goo..
자격증 (Certificate)/정보보안기사
정보보안기사 필기/실기 동시 대비 - 시스템 보안
사지방에서 글을 작성합니다. 설치하고 이용하는 것이 제한되어서 AWS EC2 환경에서 우분투 인스턴스로 작업했습니다. 저처럼 군대에서 공부하시는 분들도 AWS를 이용해서 공부하는게 도움이 됩니다. (요금도 저렴합니다) 연습하실 때는 리눅스로 직접 타이핑하시는 것을 추천합니다. - ASLR(Address Space Layout Randomization) 실행파일이 메모리에 로드될 때 기본주소(ImageBase)는 항상 동일한 주소를 갖는다. 하지만 이렇게 동일한 메모리 주소를 가지면 공격자에게 매우 취약한 문제점이 발생한다. 즉, 주소가 동일하기 때문에 해당 주소에 악성 코드를 적재하기 쉬워진다. -> 이런 문제점을 고치기 위해 메모리 주소를 항상 동적으로 할당하게 한다 -> 즉 기본주소(ImageBase..
기타
사지방 AWS EC2 Kali Linux 접속 도구 + 웹 카톡
보호되어 있는 글입니다.
자격증 (Certificate)/정보보안기사
정보보안기사 취득 계획 안내 / 정리
평소에 정보보안기사 자격증을 취득하고 싶었는데, 응시 자격 (4년제 졸업 예정자 또는 경력자) 을 충족하지 못해 어떻게 할지 고민을 많이 하고 있었다. 다른 사람은 4학년에 보면 된다 하지만 군대에 있는 시간을 최대한 활용하고 싶었다. 어떤 식으로 준비할지 생각해보면서 글을 남긴다. 나와 같은 상황에 놓인 사람에게도 도움이 되었으면 한다. 글쓴이는 현재 4년제 2학년 2학기를 수료한 상태이다. 정보보안기사 시험을 보고싶지만 당연히 응시 자격에서 입구컷이다. 고민을 해보면서 내린 결론은 ' 산업기사 + 정보보호병 = 정보보안기사 응시자격 충족 ' 이다. 정보보안산업기사 응시 자격은 아래와 같다. 주목해야할 점은 관련학과의 2년제 또는 3년제 전문대학졸업자등 또는 그 졸업예정자 이다. 4년제 학교에서 2학년..
기타/정보보호병
육군 정보보호병 - 육군훈련소, 정보통신학교(정보보호병 후반기 교육) 후기 및 안내
* 아래는 정보보호병 지원 후기 글입니다. 참고하시면 좋을 것 같습니다. 육군 정보보호병 1차 안내 및 후기 (2022.02.08 지원) 육군 정보보호병은 병무청 홈페이지 - 모집안내서비스 - 안내 및 지원절차 - 정보보호병(175104) 항목을 누르면 확인할 수 있다. 정보보호병의 경우 육군, 해군, 공군 모두 선발하지만 작성자는 복 kkomii22.tistory.com 육군 정보보호병 2차 면접/필기 안내 및 후기 (2022.02.08 지원) 지난 육군 정보보호병 1차 지원한 게시글에 이어서 두 번째 글이다. https://kkomii22.tistory.com/129 육군 정보보호병 1차 안내 및 후기 (2022.02.08 지원) 육군 정보보호병은 병무청 홈페이지 - 모집안내서 kkomii22.tis..
기타/정보보호병
육군 정보보호병 2차 면접/필기 안내 및 후기 (2022.02.08 지원)
지난 육군 정보보호병 1차 지원한 게시글에 이어서 두 번째 글이다. https://kkomii22.tistory.com/129 육군 정보보호병 1차 안내 및 후기 (2022.02.08 지원) 육군 정보보호병은 병무청 홈페이지 - 모집안내서비스 - 안내 및 지원절차 - 정보보호병(175104) 항목을 누르면 확인할 수 있다. 정보보호병의 경우 육군, 해군, 공군 모두 선발하지만 필자는 복무 kkomii22.tistory.com 1차는 서류 전형이었고, 2차는 필기 시험 + 면접 전형 으로 구성되어있다. 1. 2차 전형 일정 및 안내 1차 합격이후 본인의 수험표를 출력해 2차 평가 당일 가져가야 한다. (신분증도 필수) 이번 모집회차 경우 17회인데, 2022년 03월 17일 13시 00분에 평가 시작시간이..
